해외 유명 안티바이러스(AntiVirus)의 설치파일로 위장한 "Fake Installer" 주의!! 해외 특정 사이트에서 외국 안티바이러스 제품의 설치파일로 위장하여 사용자들에게 요금을 갈취하려는 프로그램이 확인되었다. 이미 "nProtect 대응팀 공식블로그"에서 소개 된 적이 있는 내용이니^^ 간략하게 정리 해본다. 러시아의 한 홈페이지에서 발견되었으며, 다음과 같이 홈페이지가 구성되어 있다. 빨간박스 안에 들어가 있는 해외 유명 안티바이러스 제품을 클릭하게 되면 다운로드를 받을 수 있게 된다. 러시아 최고의 안티바이러스 제품인 카스퍼스키 제품을 클릭 시 다음과 같이 화면이 바뀌며, 다운로드를 받으라고 한다. 물론 러시아어로 ㅡ.ㅡ;;; 솰라 솰라~!! 전체적인 파일구성이 궁금해서 상위 폴더로 이동하였더니 총 96개의 셋업파일이 존재하고 있었다. 아이콘도 실제와 동일한 아이콘을 사용하였으며, 파일은.. 2011. 4. 6. 트위터(Twitter), 단축URL(Short URL)을 통한 FakeAV 전파주의!! 외국에서 어제날짜(1월 20일)로 트위터에서 단축URL(Short URL)을 통해 FakeAV가 전파되고 있다고 보고했다. - 외국 보고자료 http://www.securelist.com/en/blog/11136/New_Twitter_worm_redirects_to_Fake_AV http://isc.sans.edu/diary.html?storyid=10297&rss 외국자료에 의하면 다음과 같이 SNS의 대표주자인 트위터를 통해 단축URL로 전파된다고 한다. 해당 단축URL에 접근하면 다음과 같은 m28sx.html로 이동한다. http://cainno****a.it/m28sx.html http://serviz****ittadino.it/m28sx.html http://ai**.fr/m28sx.html .. 2011. 1. 21. 페이스북(FaceBook) 쪽지로 전파되는 악성코드 금일 오전에 유명 소셜네트워크인 페이스북(FaceBook) 쪽지로 인하여 악성코드가 전파되는것이 확인되었다. 쪽지내용으로는 특정 URL이 적혀있는데, 그 URL클릭 시 악성코드가 포함되어 있는 사이트로 이동된다. - URL 클릭 시 이동 되는 사이트(해당 사이트는 YouTube인 것 처럼 가장하여 사람들을 속인다) - 이동 된 사이트에서 다운로드 되는 파일 - 파일이 동작 되면 다음과 같은 파일을 추가 다운로드 한다. http://mahjongmu****.com/.oieq/?getexe=ff2ie.exe http://mahjongmu****.com/.oieq/?getexe=p.exe http://mahjongmu****.com/.oieq/?getexe=dg.exe http://mahjongmu****.c.. 2010. 9. 27. 소포스(Sophos), Fake anti-virus poses as free McAfee VirusScan 보안전문업체인 소포스(SOPHOS)에서 McAfee AntiVirus를 가장한 스팸메일이 발생하였다고 전하고있다. 제목 : McAfee VirusScan Plus 본문 : Download a FREE 30-day Trial of MCAfee VirusScan Plus and Be Automaticaly Entered to Win Installation file attached 첨부파일 : setup.zip - 원문 : http://www.sophos.com/blogs/gc/g/2010/07/28/fake-antivirus-poses-free-mcafee-virusscan/ Fake anti-virus software (also known as scareware or rogue anti-virus) con.. 2010. 7. 29. [SpamMail] "declined deposit report" 제목으로 전파 되는 메일 주의!! "declined deposit report "제목으로 스팸메일이 유입되고 있어 주의가 필요하다. 제목 : declined deposit report 본문 : Please view the attached report of the declined deposit by OFAC 첨부파일 : report.zip 해당 메일은 OFAC(Office of Foreign Assets Control) 기관에서 보낸것으로 위장하여 사용자가 첨부파일을 실행 하도록 유도한다. report.zip파일은 안에 report.exe파일을 담고 있다. - 파일정보 report.exe(report.zip 압축 파일에 담겨있는 파일, V.DWN.FakeAV.15872) C:\Documents and Settings\사용자이름\Local .. 2010. 7. 19. [SpamMail] "Email Policy Violation" 제목으로 전파 되는 메일 주의!! 현재 일본쪽에서 전파가 되고 있는 스팸메일이다. Forwarded message.zip 파일이 첨부 파일로 들어가 있다. - 파일 정보 Forwarded message.exe(V.DWN.Waledac.27648로 탐지 예정) C:\WINDOWS\Temp\_ex-08.exe(V.WOM.Waledac로 탐지 예정) C:\Documents and Settings\All Users\Application Data\(랜덤숫자)\(랜덤숫자).exe(V.TRJ.FakeAV.SecurityTool 로 탐지예정) - 다운로드 정보 http://85.234.***.101/mrmun_sgjlwg.exe((랜덤숫자).exe 파일과 동일한 파일) http://85.234.***.101/bat.exe(_ex-08.exe 파일과 동.. 2010. 7. 15. 알약(ALYac), Bredolab Worm 2차 공격에 대한 주의 무료백신의 선두주자인 알약(ALYac)에서 BredoLab Worm 2차 공격에 대한 주의를 공지하였다. 이전과 다른 점은 없지만, 이번 2차 공격에는 가짜백신의 생성이 눈에 띄게 나타나고 있다. - 관련글 2010/02/12 - [보안관련소식] - 알약, Bredolab Worm 악성코드 주의 블로그 유입어로만 봐도 얼마나 많은 사용자들이 감염되었는지 알 수 있다. (그림 1. Daum Webinside 유입 list, 03-12(금요일)) XP internet Security에 대한 유입이 엄청 나게 들어오고 있다. 기업 사용자들이 많이 감염되어 있을 줄 알았는데, 개인사용자도 꽤나 많이 감염이 된 것으로 파악된다. 가짜백신은 OS에 따라 여러가지 이름을 가지고 있으니 아래링크에서 프로그램명을 확인해.. 2010. 3. 12. 외국 허위백신 "XP Internet Security" 의 OS에 따른 프로그램명 변경 마이크로소프트 바이러스 센타(Microsoft Malware Protection Center)에서 허위백신이 OS에 따라 프로그램명이 변경된다는 내용의 글을 올렸다. OS별 변경되는 프로그램 목록은 총 33개이다. Windows 7 , Windows Vista, Windows XP OS별로 11개씩 이다. Platform: Windows 7 Platform: WIndows Vista Platform: Windows XP Win 7 Internet Security 2010 Win 7 Internet Security Win 7 Antivirus Pro 2010 Win 7 Antivirus Pro Win 7 Antivirus 2010 Win 7 Antivirus Win 7 Defender 2010 Win 7 .. 2010. 3. 11. 이전 1 2 다음
